En un
artículo anterior
, mencioné el cambio a Intune Standalone, que nos permitió usar las capacidades de Azure Active Directory en mayor medida, es decir, trabajar con acceso condicional. En esto, te contaré más sobre cómo se puede hacer esto.
Que es esto
El acceso condicional (CA) es un mecanismo para verificar cada proceso de conexión al sistema en función del script configurado y la decisión que determina qué hacer con esta conexión. Y puede estar prohibido, permitido sin condiciones o permitido con condiciones. Es un componente de Azure AD.
Este escenario se describe mediante la siguiente configuración:
Asignaciones : en qué casos se debe activar el script.
Controles de acceso : qué hacer.
La sección
Asignaciones contiene:
-
Usuarios y grupos : qué usuarios están sujetos a la política. Pueden ser todos los usuarios en Azure AD o grupos / usuarios específicos. Por separado, puede especificar excepciones. Puede aplicar la política a todos los usuarios, excepto a un solo grupo.
-
Aplicaciones en la nube : los scripts se pueden aplicar a cualquier aplicación registrada en Azure AD. Es decir, no está limitado a trabajar solo con aplicaciones de Office 365.
-
Condiciones - condiciones adicionales.
-
Riesgo de inicio de sesión : la capacidad de utilizar el mecanismo de evaluación de riesgos de autorización. Se estima dónde, a qué hora, con qué cliente, cuánto suele ser este comportamiento, etc. Requiere la licencia Azure AD Premium 2.
-
Plataformas de dispositivos : es posible indicar a qué plataforma se aplicará la política. Por ejemplo, crear una política solo para clientes móviles o solo para máquinas Windows.
-
Ubicaciones : implican ubicaciones de red. Puede usar la lista de direcciones IP confiables.
-
Aplicaciones de cliente (vista previa) : evalúa el tipo de cliente. Es posible utilizar para crear una política solo para el navegador o EAS (Exchange Active Sync). Para aquellos que desean cerrar el uso de OWA en dispositivos móviles, pero dejan la opción para computadoras de escritorio.
-
Estado del dispositivo (vista previa) : permite excluir dispositivos en un determinado estado.
A continuación, debe configurar qué hará o requerirá exactamente la política.
Hay dos secciones para esto:
Conceder : aquí es donde se configura el escenario: bloquear el acceso o requerir medidas de seguridad adicionales.
Sesión : control en la sesión misma. Por ahora, el uso solo es posible con Exchange Online y Sharepoint Online. Más información
aquí .
Ahora veamos algunos casos de uso.
Escenario 1. Acceso abierto a aplicaciones de Azure AD solo en dispositivos móviles administrados por Intune.Supongamos que necesitamos restringir el acceso a las aplicaciones registradas en Azure AD y otorgarlo solo a los dispositivos administrados por Intune. Y esto debería ser aplicable a todos los dispositivos.
Elegimos aplicar la política a todos los usuarios.
A continuación, seleccione todas las aplicaciones.
IMPORTANTE: el Azure Management Portal (portal.azure.com) también se considera como una aplicación, así que tenga cuidado. Hay una historia: si crea una política para todos los usuarios y todas las aplicaciones que bloqueará las conexiones, nadie entrará en su inquilino e incluso el soporte de Microsoft no lo ayudará.
Ahora necesitamos configurar la política, para usar solo en dispositivos móviles. Para hacer esto, vaya a Plataformas de dispositivos y seleccione SO móvil (iOS, Android, Windows Phone).
Hemos elegido todas las condiciones necesarias para aplicar la política, ahora seleccionamos la condición para permitir la conexión. En este caso, la opción necesaria es el requisito de que el dispositivo cumpla con las políticas de seguridad de Intune (Política de cumplimiento). El estado del dispositivo se toma de Intune.
Después de crear y aplicar la política, los usuarios con dispositivos administrados por Intune continuarán usando las aplicaciones. Aquellos que usaron dispositivos no conectados a Intune verán un mensaje que les pedirá que registren el dispositivo.
Escenario 2. Acceso al portal corporativo solo desde computadoras corporativas.Debe configurar la sincronización entre Active Directory y Azure Active Directory. Por lo tanto, las computadoras de AD existirán cuando Hybrid Azure AD se haya unido. El portal interno debe estar registrado con Azure AD. Incluso puedes configurar SSO.
Ahora depende de la política, que se aplicará a los usuarios correctos y requerirá conexión solo desde dispositivos híbridos unidos cuando se conecte al portal / aplicación especificada. Todo saldrá de la caja con IE y Edge. Chrome requerirá una extensión.
¿Y si algo se rompe?En algún momento, puede encontrar situaciones en las que el usuario no puede iniciar sesión en la aplicación y no comprende del todo qué política tiene la culpa de esto.
En este caso, los registros de inicio de sesión en Azure AD ayudarán con el filtrado por estado de aplicación de políticas.
En los detalles de cada evento, puede ver qué política funcionó y por qué.
ConclusionesEl acceso condicional le permite diferenciar de manera flexible el acceso a aplicaciones y servicios. Puede haber un número infinito de condiciones y casos de uso. Este servicio se divulga mejor con los servicios de Microsoft. Por ejemplo, se puede integrar con Azure Application Proxy para restringir el acceso a los recursos internos o para integrarse con la protección de punto final mientras se bloquea el acceso a la red corporativa.